Interview sur le risque de code: un service gratuit d’analyse de code source pour les plugins WordPress

Une vulnérabilité dans le plug – in WordPress est plus susceptible de provoquer un piratage de site que dans le noyau WordPress. L’une des raisons en est le manque de ressources. Même si le Code WordPress principal est contrôlé par des milliers de personnes, le logiciel est toujours vulnérable. De plus, la Fondation a affecté des ressources pour s’assurer que le Code est aussi sûr que possible. D’autre part, de nombreux développeurs de plug – ins n’ont pas les ressources disponibles pour s’assurer que leur code de plug – in est sécurisé, surtout s’il s’agit d’un petit plug – in. Même si tout va changer, Hendrick Buchwald explique dans cette interview. Hendrick est ingénieur logiciel, chercheur en sécurité et cofondateur de Rips technologies.
Quel est le rôle de la technologie Rips? Rips technologies est une société de haute technologie basée à Bochum, en Allemagne. Nous fournissons une analyse de sécurité automatisée pour les applications PHP telles que les installations logicielles de déploiement interne ou les services Cloud hautement extensibles. Nos algorithmes innovants d’analyse de code pour le langage PHP identifient des vulnérabilités de sécurité complexes dans les applications modernes qui ne peuvent être comparées à d’autres solutions. Notre mission est de fournir aux développeurs et aux professionnels de la sécurité des analyses de sécurité aussi précises et efficaces que possible.
Quelles sont, selon vous, les erreurs de sécurité les plus courantes des développeurs? Quelles sont les 3 principales vulnérabilités que vous voyez dans le plug – in WordPress? Il n’est pas surprenant que le problème le plus courant soit la vulnérabilité de script inter – site (xss), qui se produit chaque fois que l’entrée de l’utilisateur est imprimée sur une page de réponse HTML sans nettoyage approprié. Tout d’abord, ces problèmes se produisent souvent parce que la sortie de données est l’opération la plus courante dans les applications PHP et est donc plus vulnérable aux vulnérabilités de sécurité que d’autres opérations. En soi
Sécurité du Code plug – in. Pour l’instant, cela se limite aux plugins WordPress hébergés dans le dépôt officiel de WordPress. Nous récupérons automatiquement les nouveaux plug – ins du dépôt WordPress et les numérisons en utilisant le scanner de sécurité PHP Rips. Les résultats détaillés de la per ont été regroupés en valeurs de risque faciles à comprendre. Cette valeur tient compte de la gravité de l’utilisation réussie, du nombre de problèmes détectés par rapport à la taille du Code et de la probabilité que le problème puisse être abusé par un tiers.
Les développeurs de plug – ins peuvent demander des résultats complets et détaillés du plug – in via un système automatisé. Ils peuvent utiliser cette information pour corriger d’éventuelles vulnérabilités et renforcer le Code afin de rendre l’écosystème WordPress plus sûr. L’idée derrière coderisk est de permettre aux développeurs de plug – ins de découvrir eux – mêmes les problèmes dans leur code, même s’ils ne sont pas des experts en sécurité. Bien que nous ayons fait beaucoup de recherches sur la sécurité WordPress et signalé de nombreuses vulnérabilités aux développeurs, il y a trop de plugins à analyser manuellement.
Y a – t – il beaucoup de développeurs de plug – ins qui s’inscrivent et utilisent votre service d’analyse de code source gratuit? Comment la communauté WordPress a – t – elle réagi? Des dizaines de développeurs de plug – ins utilisent coderisk pour réduire le risque de vulnérabilité à la sécurité dans les plug – ins. Jusqu’à présent, nous avons reçu beaucoup de bons commentaires et coderisk a aidé à résoudre des centaines de problèmes. Les scanners automatiques signalent souvent des erreurs et limitent les situations qui pourraient ne pas être disponibles. Étant donné que de nombreux développeurs ne sont pas des experts en sécurité, comment pouvez – vous les aider et éviter les faux positifs?
Nos utilisateurs devraient être conscients que nous mettons l’accent sur les codes qui présentent un risque pour la sécurité. Entre
Des lacunes imprévues en matière de sécurité, qui comprennent également d’autres conséquences, telles qu’une faible protection, peuvent devenir une menace à l’avenir. Vous n’avez pas besoin de savoir si et comment le problème est utilisé pour vous assurer qu’il ne deviendra pas une menace pour la sécurité à l’avenir. Par exemple, si vous imprimez la valeur de retour d’une fonction, assurez – vous qu’elle est correctement codée pour éviter une vulnérabilité de script inter – site. Cela peut ne pas se produire à l’avenir, même si la valeur retournée ne contient pas encore l’entrée de l’utilisateur.
Où pensez – vous aller avec ce projet WordPress gratuit? Tu as un plan? Peut – être pourrait – on offrir un service de qualité qui tient les développeurs entre leurs mains et les aide à comprendre les résultats et à en tirer le meilleur parti? La prochaine version de coderisk augmentera le support pour les thèmes WordPress, car ils font partie intégrante de la plupart des blogs et contiennent souvent des vulnérabilités. Dans une certaine mesure, nous voulons étendre coderisk à d’autres systèmes de gestion de contenu. Il n’est pas prévu de mettre en place un service de qualité, mais cela pourrait changer si la demande est suffisante. Pouvez – vous fournir aux développeurs WordPress deux ou trois meilleures pratiques de développement de sécurité pour écrire un code plus sûr?
Si vous voulez écrire un code plus sûr, ne faites pas confiance aveuglément au Code existant. On suppose toujours qu’une fonction peut renvoyer l’entrée de l’utilisateur et la traiter comme une entrée de l’utilisateur. Pour obtenir des renseignements généraux sur la façon d’écrire du Code PHP sécurisé, consultez le Guide de construction d’un logiciel PHP sécurisé 2018. Pour en savoir plus sur ce service, consultez le site Web coderisk. Si vous êtes un développeur de plug – ins WordPress et que votre plug – in est situé dans la Bibliothèque de plug – ins WordPress, inscrivez – vous à un compte gratuit pour voir quelles sont les vulnérabilités possibles de votre plug – in.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *